|
|
|
TR/Swizzor
Beispiel:
Verzeichnis von C:\Dokumente und Einstellungen\Username\Anwendungsdaten
23.06.2006 22:39 -DIR- CLOCKA~1 clockamenpeak
21.06.2006 06:41 -DIR- NETPUM~1 NetPumper
Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten
25.04.2006 17:27 -DIR- MESSEN~1 Messenger Plus!
16.06.2006 17:06 -DIR- ONLINE~1 online okay each axis
Verzeichnis von C:\WINDOWS\tasks
24.06.2006 12:00 262 A827088B9184BF9F.job
2006-07-28 23:20 -------- d-------- C:\Programme\Messenger Plus! Live
2006-07-28 23:20 -------- d-------- C:\Programme\curbboobcomp
2006-07-28 23:13 -------- d-------- C:\Programme\MessengerPlus! 3
c:\dokumente und einstellungen\all users\startmenü\programme\netpumper
C:\Dokumente und Einstellungen\Username\Anwendungsdaten\NetPumper
C:\Programme\NetPumper
C:\Programme\Netscape\Netscape\plugins\NPNetPumper_Application.dll
C:\Programme\Netscape\Netscape\plugins\NPNetPumper_Audio.dll
C:\Programme\Netscape\Netscape\plugins\NPNetPumper_Video.dll
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!
C:\Programme\Messenger Plus! Live
C:\Programme\MessengerPlus! 3
HKEY_CURRENT_USER\Software\Patchou\MsgPlus2
C:\Programme\Anti-Leech
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Anti-Leech ALIE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Anti-Leech ALNN
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Anti-Leech ALNN
Link : SWIZZOR-Trojaner - Swizzor - Trojaner - Obfuscated.BT.1 - Dldr.Swizzor.Gen
Link : LOP - Trojaner TR/Swizzor, Lop Verseuchung - www.lop.com
Zitat
Messenger Plus! 3 von msgplus.net heruntergeladen. Installiert - natürlich mit der Sponsoring-Option. Das Ding verändert meine Startseite und ballert mich mit PopUps zu. Außerdem legt es ein paar unnütze Verknüpfungen auf meinem Desktop ab und beschert mir beim IE mehrere "hübsche" Werkzeugleisten. In den Favoriten werden Links zu Online-Casinos und verschiedenen Online-Shops eingefügt. Ich mag das nicht, also wird es deinstalliert - aber erstmal nur die Sponsorensoftware. Doch das Programm mag das irgendwie nicht... es stürzt bei dem Versuch ab
[ 1.]
Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html
[ 2. ]
CleanUp
http://virus-protect.org/cleanup.html
[ 3. ]
BEISPIEL:
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
http://www.otzofdwxjijkexycdfchxvjk.net/LcBVhruWnLyfYPwSKQWdC9zVCwDg4Gn5rsM4adb2DL49jzZlEG7cu6PPZ5lwev29.html
O2 - BHO: (no name) - {6A8CA112-9F56-640B-67CB-0C170359C7C8} - C:\DOKUME~1\Username\ANWEND~1\WAITBI~1\Bash Ante.exe
O4 - HKCU\..\Run: [im_autorn] C:\WINDOWS\System32\im_2.exe
O4 - HKLM\..\Run: [DownloadDrawThunkBike] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Type Remote Download Draw\Option 01.exe
O4 - HKCU\..\Run: [Platform Seek] C:\DOKUME~1\Username\ANWEND~1\THUNKL~1\window cool.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\RunOnce: [MessengerPlusUninstall] C:\WINDOWS\system32\cmd.exe /C "C:\DOKUME~1\Username\LOKALE~1\Temp\MsgPlusUninst.bat"
O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe"
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
[ 4. ]
PC neustarten (in den abgesicherten Modus) --> F8 drücken, wenn der PC hochfährt
abgesicherter Modus
das ist notwendig, denn im Normalmodus kann man die Dateien nicht löschen.
Es kommt dann folgende Fehlermeldung:
[ 5. ]
Deinstallieren:
"Start -> Einstellungen -> Systemsteuerung -> Software"
C:\Programme\MessengerPlus! 3 - [siehe :] MessengerPlus! 3
C:\Programme\NetPumper\NetPumperIEProxy.exe
C:\PROGRAMME\C2Media
C:\Programme\Anti-Leech
das Sponsor-Programm (siehe PopUps !! )
C:\Programme\Adverts -> [c:\programme\adverts\uninst.exe]
[ 6. ]
Löschen:
BEISPIEL - Bezeichnungen sind in jedem Fall verschieden - deshalb ins Sicherheitsforum kommen  Sicherheitsforum: http://board.protecus.de
C:\Dokumente und Einstellungen\Username\Anwendungsdaten\clockamenpeak
C:\Dokumente und Einstellungen\Username\Anwendungsdaten\NetPumper
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\online okay each axis
C:\WINDOWS\System32\im_2.exe --> löschen, falls es vorhanden ist
[ 7. ] -> nur XP
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften ---> Reiter Systemwiederherstellung ---> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren)
[ 8. ]
Counterspy --> löscht die Eintraege in der Registry von MessengerPlus! 3 und Netpumper
http://virus-protect.org/counterspy1.html
* nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu
[ 9. ]
scanne mit Dr.Web (alles löschen oder umbenennen oder verschieben lassen ! )
http://virus-protect.org/cureit.html
danach die Quarantine leeren !
Adware:Adware/Lop -> C:\Dokumente und Einstellungen\Username\DoctorWeb\Quarantine\A0059986.exe
Adware:Adware/Lop -> C:\Dokumente und Einstellungen\Username\DoctorWeb\Quarantine\A0061529.exe
[ 10. ]
scanne mit Panda und lösche alles manuell, was noch angezeigt wird
http://virus-protect.org/onlinescan.html
[ 11. ]
Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:
dir %Windir%\tasks /a h > files.txt
notepad files.txt
|
- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text in deinen Thread im Sicherheitsforum
Ergebnis (Beispiel)
Volumeseriennummer: 74A0-08B6
Verzeichnis von C:\WINDOWS\tasks
14.04.2006 17:00 282 A58DA13791965BA7.job
Hinweis:
falls du noch keinen Thread eröffnet hast, eröffne hier einen Thread: http://board.protecus.de/f7.htm
BEISPIEL: .. den Task kann man nur korrekt loeschen, wenn der Eintrag von findjobs.bat (siehe oben) bekannt ist !!!! In diesem Beispiel-Fall ist es A58DA13791965BA7.job , jedoch ist der Eintrag bei jeder Verseuchung mit Swizzor ein anderer.
Man muss also den gleichen Eintrag in die remjob.bat einsetzen, welcher in der findjobs.bat gefunden wurde.
---------------------
A58DA13791965BA7.job -Beispiel:
Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:
%systemdrive%
cd C:\WINDOWS\Tasks
attrib -r -s -h A58DA13791965BA7.job
del A58DA13791965BA7.job
|
- Speichern als: remjob.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal
[ 11. ]
neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
[ 12. ]
falls du mit dem IE surfst und noch nicht den Browser Firefox installiert hast, so installiere ihn.
Stelle ihn als Standartbrowser ein . Der IE bleibt fuer die WindowsUpdates.
Anleitung: Anleitung Firefox installieren
Panda-Online-Scan ..man muss dann alles manuell loeschen !
Adware:Adware/Lop
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Draw Plus Find Else\KeepCoal.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Draw Plus Find Else\Soapglue.exe
C:\Dokumente und Einstellungen\Username\Anwendungsdaten\once error\balm bird stop.exe
C:\Dokumente und Einstellungen\Username\Anwendungsdaten\once error\oyrzmqmr.exe
C:\Dokumente und Einstellungen\Username\Anwendungsdaten\once error\qpjcvenv.exe
mit CleanUp löschen
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WLYNW16N\upAYB_unk[1].int
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8ZTR744N\upAYB_unk[1].int
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\10f246.exe
C:\Dokumente und Einstellungen\Userame\Lokale Einstellungen\Temp\62d114.exe
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\1b17f4.exe
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\56b624.exe
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\faad3.exe
diese exe werden ständig nachgeladen, wenn man nicht alle Dateien unter "Anwendungsdaten" gelöscht hat.....
Panda-Online-Scan ..man muss dann alles manuell loeschen !
H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PLANRULEWAITCLOCK\Bagsmp3.exe
H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PLANRULEWAITCLOCK\Body debug.exe
H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PLANRULEWAITCLOCK\dateace.exe
H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PLANRULEWAITCLOCK\Fork Bait.exe
H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PLANRULEWAITCLOCK\intra copy.exe
H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PLANRULEWAITCLOCK\Window Rdr.exe
alle diese Ordner haben noch Unterordner:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlaySignDoesThunk\ping web.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Dent32GridWin\FRAGUSER.exe
C:\Dokumente und Einstellungen\Username\Anwendungsdaten\BIBBRO~1\Bird blah.exe
C:\Dokumente und Einstellungen\Username\Anwendungsdaten\LOUDDR~1\Plus exit.exe
meiner Meinung sollte man kein Proggie benutzen, mit oder ohne Sponsor, das einen Trojaner mit auf den PC bringt !!!
"Help improve Messenger Plus"...der reinste Witz!!! da man sich mit diesem "Help" den PC verseucht....
Ok, back to the "Sponsor". It just keeps on trying to infect your PC - oh yeah, this is REAL appropriate for a pre-teen market !!!NOT!!!
C:\WINDOWS\Downloaded Program Files\MsnMessengerSetupDownloader.inf
C:\WINDOWS\Downloaded Program Files\MsnMessengerSetupDownloader.ocx
C:\WINDOWS\Downloaded Program Files\MsnPUpld.dll
C:\WINDOWS\Downloaded Program Files\MSNPupld.inf
C:\WINDOWS\system32\cmd.exe /C "C:\DOKUME~1\User\LOKALE~1\Temp\MsgPlusUninst.bat
c:\programme\messengerplus! 3\msgplush.dll
c:\programme\messengerplus! 3\detoured.dll
c:\programme\messengerplus! 3\resources\msgplusres.dll
c:\programme\messengerplus! 3\libsndfile.dll
c:\programme\messengerplus! 3\lame_enc.dll
c:\programme\messengerplus! 3\msgplus.exe
c:\programme\messengerplus! 3\richedhook.dll
c:\programme\messengerplus! 3\msgplusloader.dll
Spyware/Adware installiert ueber Messenger Plus!
Malware being advertised at Msgplus
http://inetexplorer.mvps.org/answers/44.html
- advertising PrecisionTime by Gator
- advertising Dashbar by Gator
- "free Smileys" advertised at msgplus.net come from "Smiley Central"
- PS. Patchou says he no longer advertises Smiley Central [Smiley Central are also SPAMMERS]
- SpyBlocs/eBlocs - Rogue Status Update
SpyBlocs and eBlocs have been on the Suspect/Rogue Anti-Spyware list since it was first published on July 26, and with good reason. Comments on the page state: aggressive, deceptive advertising; false positives work as goad to purchase
superantispyware
C:\Dokumente und Einstellungen\Username\Anwendungsdaten\ISOBOD~1\MULTIE~1.EXE
[Forintrabrowseview] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\up loud for intra\Intragrey.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\up loud for intra\Intragrey.exe
C:\Dokumente und Einstellungen\lllll\Anwendungsdaten\isobodypure\Multi else.exe
C:\Dokumente und Einstellungen\lllll\Anwendungsdaten\isobodypure\whjbyhdl.exe
C:\Programme\Adverts\uninst.exe
C:\WINDOWS\Prefetch\INTRAGREY.EXE-10365FE4.pf
C:\WINDOWS\Prefetch\MULTIE~1.EXE-1852AE4F.pf
|
|
|
